前些天,為了畢業專題,我上網在PCHome的DA量販買了一條USB 轉 RS232的線傳輸線,有趣的是,就在昨天,我接到了詐騙電話,他們很清楚我買了什麼東西,告訴我他們弄錯了帳款,變成了自動分期扣款,我用不屑的口吻說了一句』喔…』,不知道是從我的口氣感到沒有希望還怎樣,通話過一陣子就斷了,這不是我第一次接到這樣的詐騙電話,每次我接到都覺得很火大,火大不是在於電話本身,而是賣家把我的資料洩漏出去,而更火大的是,通常都沒人想去追究到底是從哪洩漏出去的,每個環節都聲稱他們都有定期掃毒、更換密碼、他們的平台很安全,因為舉證困難,比起找到哪裡流出去的,把責任推給別人比較簡單,這讓我覺得相當火大,於是我就開始想,到底是誰把資料流出去的,做了一些研究和推論
大家都一樣火大
我相信,接到詐騙電話的人,發現自己資料被一清二楚地流出去時,都一樣火大,在評價上肯定不會有什麼好評,於是我找了DA量販的負評來看,果不其然,也有人抱怨接到了詐騙電話,時間也都很接近
評價等級: 待加強 (2009/09/17 20:57:59) (最新一筆)
評價意見: 我上個月買一顆電池, 今天就接到詐騙電話, 為何對方會知道詳細交易內容? 煩請加強你們的交易資料保密, 謝謝!
評價等級: 待加強 (2009/08/29 01:31:54) (最新一筆)
評價意見: 商品品質:產品質量太差太粗糙,買回來一裝,把我上千元的手把控制器整個磨損!! 洞大小根本不對,難放入更難拔出!!太可怕了!! 貪圖東西便宜,到頭來卻是當垃圾丟了!! 而且還造成原來搖控器的損壞,最後實在是虧更大!!! 今晚還莫名其妙接到廠商打來說付款有問題,錢都從我信用卡裡扣了!還有啥問題?!! 麻煩廠商下次自行先查清楚,這年頭詐騙太多,沒事別亂打給顧客說款項有問題,害我差點報警!!
光看這樣似乎是DA量販有意或無意的把資料流出去,但這麼想太過武斷,因為能接觸到個人資料的環節不少,我不清楚他們背後的流程怎麼跑,但是資料經過的環有不少,可能這些環節都會流出去,至於環節有哪些,從使用者的電腦、商家、物流、銀行等等,我們先一項一項來看
使用者
俗話說,懷疑別人前要先懷疑自己,通常,使用者的這一環節是最弱的,不管在安全知識等各方面,都是相當不足容易被侵入的,但是考慮到一個重點,其實就可以發現,資料從使用者這邊流出去的可能是有,但其實非常少,只要站在詐騙集團的立場來看就很清楚,問題就出在於成本,使用者用電腦的作業系統、環境都不相同,做為詐騙集團,如果要從使用者這裡取得資料,例如植入木馬,有如大海撈針一般,如何知道這使用者有在線上購物,並且能夠抓到他購物的資料? 當然也可以使用釣魚的手法寄假的登入頁面,只是比起店家的信箱,買家的資料較難取得,再者,同一個人可以被騙幾次? 所以,再笨的詐騙集團都知道,從使用者個體電腦取得資料一點都不划算,我有見過很多商家都這麼說:
店家回覆: 非常謝謝您的支持!針對此詐騙電話,pchome已做防護,詐騙資料是由客戶端所收到的購買回件做詐騙,並非商店街外洩,請更改您本身的密碼,以防詐騙集團入侵你的信箱!希望以後還能再為您服務喔!^^ (2009/09/22 09:50:34)
像這之類的,根本是鬼扯! 詐騙集團監視你的信箱能撈到多少資料? 而你又能被騙幾次? 所以下次店家要推卸責任請想更好一點的理由
店家
店家的安全防護和知識等等,其實就和一般使用者沒兩樣,比起從使用者身上拿到資料,資料一次拿到都是一堆的,店家當然是最好的選擇,因為防護差又好騙,舉個例子,我可能只要寄封信謊稱自己是PCHome的工程師,近來很多人的電腦都被詐騙集團植入木馬,我們免費提供木馬清除程式,又或著釣魚(Phishing)的手法,把假的登入頁面,大量寄給商家,這之中肯定會有人上勾,只要有一個店家上勾,就有一票的資料可以詐騙,笨蛋才從使用者那邊盜那丁點資料,當然,店家內有內鬼,這也是有可能的,在我看來,店家可以說是最弱的環節,但通常是死不承認,又不認真面對找出漏資料的原因,讓資料一直漏,可以說是詐騙集團的最主要幫兇
平台
比起從店家那裡盜資料,要從平台上拿到資料所需要的門檻高了一些,但說高其實也不高,如果平台有漏洞的話,有心人士發現,往往會將資料全倒出來,然後賣給詐騙集團,可能一筆資料只值幾塊錢這樣,大家的購物資料就這樣被以賤價賣給詐騙集團,所以,如果發現收到詐騙電話的人資料遍佈整個平台,就極有可能是平台有洞被撈資料了
除了官方的平台,也很常見到賣家使用外面賣的轉帳資料登入系統,也就是轉帳完買家進入他們的系統登入買了什麼東西,多少錢,然後轉帳時間、金額等等,像是Yahoo!奇摩拍賣就有不少賣家使用那樣的系統,我相信像很可能有相當大比例的資料是從那些系統流出去的,因為那些系統安全性比起Y拍和PCHome等平台,可能大多都很差,畢竟可能是菜鳥寫出來的網站,或許簡單的SQL Injection就能撈出一堆資料來,誰有興趣的話,或許可以抓資料做做看詐騙負評和轉帳資料登入系統的正相關性,我猜應該會相當高
銀行
有趣的是,除了把責任推給使用者,也有店家把責任推給銀行
評價意見: 貨收到後第二天接到一通詐騙電話,被我識破後還被那女生罵髒話))&^%&*^$*&()….貴公司的客戶資料應該加強保護.
店家回覆: 您好:有看到您的評價意見了,現在資訊發達個人資料容易外漏,我本人若接到不明來電一定先詢問「怎麼會有我的電話號碼」,所以我們是非常厭惡不明電話的騷擾~~~我們緹悠樂活只專心致力於我們的本業,顧客的個人資料都是我們的珍藏絕不外漏,這點您絕對可以放心,我想在網路購物或任何的申請都需填寫個人資料,另外銀行或電信業者都可能盜取我們的個人資料外賣,我個人是很少留資料給他人,也常懷疑銀行或電信業者把我個人資料外瀉,甚至公家機關不法人員也有可能,太多太多的可能了,但我們向您保證您的資料絕不是從我們手中流出去的,如果您釋懷的話請給我們好一些些的評價吧!! 祝您有個美好的一天~~~ ^╴╴╴^ (2009/09/03 09:45:57)
雖然這裡沒有提到有任何詐騙集團的手法,但通常都是說你買了xxx東西,多少錢,都一清二礎地跟你說,讓你取信他們確實是賣家,接著才開始誆你,如果說銀行把資料流出去,那銀行又是怎樣知道你買了什麼東西? 店家會把商品名稱讓銀行知道嗎?
98/ 09/ 04 刷卡消費 $169 – xxx 網路家庭國際資
以我在DA量販刷卡的記錄,銀行並不會記錄你買了什麼東西,頂多像這樣知道你在PCHome花過錢,所以像這種推卸責任的理由一樣很弱,再者銀行是最重視安全的單位之一,比起隨便請工讀生來處理訂單的店家安全等級要高太多了,不檢討自己居然懷疑到銀行頭上蠻可笑的
物流
當然把東西交到客戶手上的就是物流,所以也是推卸責任的好目標,請問大家在收到東西時,有多少店家會蠢到把買什麼東西、多少錢直接就寫在包裝外面? 我確實遇過,這些店家大概一點隱私權的概念都沒有,但是非常少數,所以基本上包裝上是不該寫買了什麼東西的,接著問題就是,店家將商品交給物流業者時,商品到底是包好的,還是沒包好的? 以我自己去郵局寄東西給買家來看,我們都是把東西包好再交給物流的,有人把東西交給物流在由他們包裝嗎? 或許有,但是如果不是的話,把責任推給物流就說不過去,不過或許有些跟物流之間會有商品報值的資料,這樣一來的確也是有可能會外流
數據會說話
當然,上面這些光說,沒有數據其實也只是空打嘴砲,為了能夠更清楚的瞭解資料外流的情況,我花了一點時間寫了一個小爬蟲爬了PCHome商店街所有店家的負評第一頁,在那之中找到有』詐騙』字眼的負評,而我發現有些是商品太久沒來,買家抱怨他們是不是被詐騙的留言,為此我手動過濾了一下,挑出確實是有說接到詐騙電話的負評,以下是列表
評價等級: 待加強 (2009/09/17 20:57:59) (最新一筆)
評價意見: 我上個月買一顆電池, 今天就接到詐騙電話, 為何對方會知道詳細交易內容? 煩請加強你們的交易資料保密, 謝謝!
評價等級: 待加強 (2009/08/29 01:31:54) (最新一筆)
評價意見: 商品品質:產品質量太差太粗糙,買回來一裝,把我上千元的手把控制器整個磨損!! 洞大小根本不對,難放入更難拔出!!太可怕了!! 貪圖東西便宜,到頭來卻是當垃圾丟了!! 而且還造成原來搖控器的損壞,最後實在是虧更大!!! 今晚還莫名其妙接到廠商打來說付款有問題,錢都從我信用卡裡扣了!還有啥問題?!! 麻煩廠商下次自行先查清楚,這年頭詐騙太多,沒事別亂打給顧客說款項有問題,害我差點報警!!
評價等級: 待加強 (2009/07/06 05:09:32) (最新一筆)
評價意見: 我本來要寫優良的! 但是很不巧…我今天接到詐騙集團的電話! 他很清楚告知我買了什麼東西,金額和數量! 當然方式還是…一樣! 又說你付的方式 變成分期付款! 不處理會被扣很多錢! 我不知道是Pchome還是貴公司的問題! 購買你家的東西…客戶資料會被洩漏光光! 請其他人要小心此情況!
店家回覆: 您好~真抱歉,因為我們的資料都是留在pchome後台的,會通知pchome加強控管,也會更改我們的後台的帳密及加強電腦掃毒,以查明原因,謝謝您的通知,對於造成您的困擾,深感抱歉!! (2009/07/06 08:23:30)
評價等級: 待加強 (2009/09/02 14:45:01) (最新一筆)
評價意見: 接獲詐騙集團電話..嚴重懷疑pchome商店街系統洩漏個人資料往後將會慎重考慮是否繼續在pchome商店街購物謝謝
店家回覆: 您好:有看到您的評價意見了,現在資訊發達個人資料容易外漏,我本人若接到不明來電一定先詢問「怎麼會有我的電話號碼」,所以我們是非常厭惡不明電話的騷擾~~~我們緹悠樂活只專心致力於我們的本業,顧客的個人資料都是我們的珍藏絕不外漏,這點您絕對可以放心,我想在網路購物或任何的申請都需填寫個人資料,另外銀行或電信業者都可能盜取我們的個人資料外賣,我個人是很少留資料給他人,也常懷疑銀行或電信業者把我個人資料外瀉,甚至公家機關不法人員也有可能,太多太多的可能了,但我們向您保證您的資料絕不是從我們手中流出去的,如果您釋懷的話請給我們好一些些的評價吧!! 祝您有個美好的一天~~~ ^╴╴╴^ (2009/09/03 09:45:57)
評價等級: 優良 (2009/08/24 03:10:28)
店家回覆: 您真是一位超級好買家!非常感謝您的光臨╭☆°蔓蒂 小鋪。祝福您事事順心喔~ (2009/08/24 09:54:49)
評價等級: 待加強 (2009/09/01 05:05:00)
評價意見: 客服態度不錯,但我的定安資料卻外流了,還遇到詐騙集團,整個不開心!
店家回覆: 您好,我們在Pchome的這個平台,有使用動態密碼及定期更新密碼、掃毒,不過現在歹徒也越來越厲害,不知道他是怎麼竊取資料的,也有可能是您的電腦在上傳資料時被竊取的,建議您也掃毒一下唷,我們已經立刻更新我們的密碼、掃毒,謝謝您特地來信告知喔!同時我們也已經通知Pchome有此情形!提醒您,並沒有什麼ATM按錯變成分期付款,還會每月扣款,如接到可疑電話,請馬上掛斷!並打165報警!也可來信or來電跟我們確認喔 (2009/09/01 09:19:47)
評價等級: 待加強 (2009/09/01 05:07:04) (最新一筆)
評價意見: 客服態度
店家回覆: 很抱歉~讓您覺得不開心~我們也已經向Pchome反應此情形 (2009/09/01 09:21:59)
評價等級: 待加強 (2009/09/16 01:49:54) (最新一筆)
評價意見: 商品是不錯用!但是已經購買一個多月了.竟還會接到詐騙電話!感受很差!!這是為什麼?請給個合理的理由!!謝謝!!
評價等級: 待加強 (2009/09/20 21:37:11) (最新一筆)
評價意見: 我跟你們 買牛肉幹乾這事! 為何詐騙集團會知道? 竟然被詐騙集團利用 打電話 給我來行騙! 我想請教! 我的個資為何從你那邊流出去? 我的地址!電話 交易項目 金額 信用卡公司,…都給詐騙集團知道了! 對我的安全有很大影響! 打電話給你們 卻是推的一甘二淨!! 超級不負責任!!
店家回覆: 非常的感恩PChome商店街在此特別提醒您,商店街的店家與PChome工作人員,均不會要求消費者至.提款機操作任何功能,請小心勿上當。如果接獲不明人士來信或來電,應立即撥打165防詐騙專線查詢或透過 PChome商店街客服中心 https://storessl.pchome.com.tw/adm/appeal.htm 查證。 PChome商店街與您一起努力維護網路交易安全! (2009/09/20 22:10:11)
評價等級: 待加強 (2007/11/13 11:10:38) (最新一筆)
評價意見: 我這才發現原來我接到的那通電話也是詐騙集團打來的!! 本人在此鄭重表達對貴公司以及PChome商店街的嚴重不滿與抗議!! 我們都是基於信任貴司與PChome商店街交易平台的安全性才在此消費, 現在我們的手機以及其他個人資料全被盜取, 請問貴公司以及PChome商店街要怎麼負責與解決??!
店家回覆: 不好意思 我們已經將此情況反應給pchome了並通知警方處理 造成您的不便請見諒 (2007/11/14 12:09:14)評價等級: 待加強 (2007/11/12 14:55:15) (最新一筆)
評價意見: 你們公司把我的交易資料外洩,害詐騙集團打來騷擾我, 他們明確說出我在何時,跟你們購買了這組電蚊拍,還問我使用狀況接著騙我說我的交易紀錄出問題,說你們的交易平台異常,還我一次付清的方式變成分期, 要我去ATM取得交易明細表,還有上面的經辦證號與時間,才能做取消分期, 後來我去查證才知道是詐騙, 請大家要小心在這家商店購物時的資料外洩問題!!!!
店家回覆: 我們已經將此情況回應給pchome及警方了 不好意思造成您的困擾 本館絕對不會打電話告知民眾要更改交易方式如有任何問題請來電本館進行確認的動作 (2007/11/12 18:27:51)
評價等級: 待加強 (2009/09/21 22:01:38) (最新一筆)
評價意見: 今天接到所謂客服來電,表明了解此次購物,但說到後來就成了詐騙電話,說我會被每月扣款…。我想你們系統也太差了,個資馬上外洩。
店家回覆: 非常謝謝您的支持!針對此詐騙電話,pchome已做防護,詐騙資料是由客戶端所收到的購買回件做詐騙,並非商店街外洩,請更改您本身的密碼,以防詐騙集團入侵你的信箱!希望以後還能再為您服務喔!^^ (2009/09/22 09:50:34)
評價等級: 待加強 (2008/01/06 23:51:55) (最新一筆)
評價意見: 該商家漠視消費者權益使客戶資料外洩導至接到詐騙電話,告知店家還回覆網路世界無孔不入.很抱歉.讓大家權益受損.只要大家小心別上當.謝謝。如果真的詐騙成功不知道該找誰,跟別的店家買比較安全。
店家回覆: 您好~我們不幸被選作為詐騙跳板,我們也很懊惱、難過;每天擔心顧客不小心上當受騙,而知道顧客在被詐騙集團騷擾後,我們馬上報警處理並通知165詐騙專線,並沒有漠視消費者權益,但警方說這種網路詐騙事件他們不處理,165詐騙專線也只是確認他們是詐騙集團,根本無法將他們繩之以法,我們也求助無門。最後我們只好致電跟上百位客戶提醒,並不是沒有在處理,希望您能見諒,謝謝您 (2008/01/07 14:30:13)
評價意見: 貨收到後第二天接到一通詐騙電話,被我識破後還被那女生罵髒話))&^%&*^$*&()….貴公司的客戶資料應該加強保護.
店家回覆: 大大 您好看到您的評價意見很驚嚇,網路駭客橫行這是無庸置疑不爭之事實,但是,我們公司從未發生(客戶資料被盜)這種事件,/駭客入侵/有可能是網路伺服器 (PChome主機)及買賣雙方的電腦被駭客值入木馬程式才會造成資料外流,經您反映告知我們公司已立即將管理網站的電腦主機請工程師協助迅速掃毒檢測,惟並無發現任何異常之處,公司同時將您評價意見及發生情況反映PChome相關部門之外,也特別對您發生以上事件表達關心之意。網路駭客真是猖狂橫行,唯有隨時保護好個資之外也建議您隨時為自已的電腦掃毒(請特別注意一般的防毒軟體是無法防止網路駭客的木馬攻擊和入侵竊盜及控制),避免開啟任何陌生的郵件和連結,發現網路變慢或有異常的情形一定要找電腦專業工程師檢查及維護。對以上的所發生之情事我們一定會再加強個資保護,如還有相關問題也歡迎您隨時反映連絡PChome客服投訴,或來電亞訊e機棒_科技生活館服務中心向服務人員告知。最後 敬祝 平安幸福 亞訊e機棒_科技生活館 經理 林茂森敬上 98/03/20 (2009/03/20 03:00:03)
評價等級: 普通 (2009/08/25 17:00:24)
評價意見: 我今天收到詐騙電話 對方聲稱 我於貴商店購買的耳機付款有問題. 會造成連續扣款. 我想了解貴商店的資料是如何洩漏出去的?
店家回覆: 謝謝您的評價~有您的支持與推薦,我們一定更加努力經營,以後有機會再為您服務囉!! (2009/08/25 17:38:19)
評價等級: 待加強 (2009/09/12 11:55:29) (最新一筆)
評價意見: 我接到詐騙電話 聲稱我於貴商店購買的 『JABRA BT-530~全新遠寬公司貨~ 原廠[一對二]A2DP 抗燥音藍牙耳機BT530″ 商品,誤辦理為分期.要求我要操作 ATM. 我於兩週前通知貴商店,並請貴商店了解資料是如何外洩的.可貴商店置之不理. 貴商店漠視此一資料外洩事件的態度令人感到匪夷所思. 貴商店既然沒有誠意想改善與了解此個人資料外洩的問題.我也不會再貴商店繼續購物.以免個人資料繼續外流.
店家回覆: 您好:我們十分重視您的購物權益,針對資料外洩一事我們因為跟PCHOME研商原因,且目前PCHOME也已經把購物通知的資料不再顯示,我們也針對公司內部所有電腦進行資安清查,並未發現有病毒侵害及惡意木馬的植入,我們已經於9/10日去函回覆給您~有關PCHPME系統人員的答覆,及我們的處理狀況, 並非置之不理尚請貴客見諒!讓您擔憂在此致上我們的歉意,這一次PCHOME的事件已經有許多商店都有受害,您和我們都並不是唯一的受害者,相信只要我們提高警覺,一定可以打擊犯罪~感恩 (2009/09/12 18:46:58)
以這些資料來看
DA量販有兩筆負評是收到詐騙電話,加上我自己一筆,不知道是太久沒給還是我給過了所以不能給,總共有三筆,在這麼短的時間內有三筆收到詐騙電話的負評,顯然肯定是從店家或平台流出去的,在我撈到的資料中,店家有六千多家,但是有詐騙反應的,通常都是少數、且在集中時間內,這樣表示,從平台漏出去的機會比較小,而從店家流出去的可能性極高,以DA量販來看,幾乎可以肯定是他們流出去的,至於是有意或無意的這就不知道了,而其它撈到的,像是電氣男購物城,也有短時間內兩筆,這同樣顯示資料是從他們那裡流出去的,為什麼其它店家都不會有這問題,而上列的這些店家都有呢? 當然就是你們自己的問題了,可是令人憤怒的是各種推託的理由都有,把責任推給使用者、推給銀行,就是死不承認資料是從自己身上流出去的,我知道這很難證明,但是數據和各種的可能性推出來都是如此
不是只有中木馬才會把資料流出去
很多店家都說,我們都有掃毒,但都沒發現異狀,其實會把資料流出去,通常都是用更簡單的方式,就是用釣魚(Phishing)的方式,是一種比木馬等其它方式取得帳密更簡單卻有效的方式,做法就是,造一個假的商店街登入頁面,看起來和原本的一模一樣,然後以各種理由把網址傳給店家,例如回復訊息、您的帳號疑似被盜用,需要更改帳密等等,店家收到信之後,點開連結要求你登入,於是傻傻的店家就真的把帳號密碼輸入了這個假的登入頁面接著送出,當然就落到了詐騙集團手裡,而且比起木馬會被發現,但是他拿到你的帳密後,偷偷登入看你買家的資料,你可能很難發現,其實平台可以提供登入的記錄,如果這麼做的話,也比較容易發現偷偷的登入,像是如果我明明沒有在昨天早上登入帳號,但是卻有這麼一筆記錄存在,很明顯地肯定是帳號密碼外流了
外流資料環節偵測系統
雖然有這些數據,但是其實還是不足以夠精確地找出資料是從哪裡流出去的,為此,我想可以用一套系統,以科學的方法找到並定位資料外流的環節,方法很簡單,就是每發現一次接到詐騙電話的反應,就在那訂單所有可能外洩的環節上,加上1分,在這麼多個環節中,分數遠高於其它環節的,即是外流資料的兇手,為何資料外流積分這麼高,不是你流出去的難到是阿飄流出去的嗎? 可惜的是似乎從來沒有人認真去找出資料是從哪裡流出去的,就任憑資料流阿流的,成為詐騙集團的最大幫兇
最後
使用者本身也有責任,接到詐騙電話,資料是從某店家那裡流出去的,請不用客氣給與最差的評價,連客戶資料都管不好,沒什麼好講的,務必讓大家知道這些沒辦法守好資料的商家,或是在其背後的任何一個環節,店家也要養成良好的習慣,不要亂裝來路不明的程式,有人寫信給你,連結最好不要隨便點,即使點開了,也要注意網址正不正確,有些甚至會申請看起來好像很像的域名來魚目混珠,千萬不要傻傻的點了就輸入帳號密碼試著登入,最好是自己從後台的書籤入口登入,避免點信件裡的連結接著登入系統,因為信件裡的連結很可能都是釣魚的連結,不然到時帳號密碼又被偷,不僅賠了商譽,買家也會成為受害者
寫得太好了, 當我接到詐騙電話時,我也有同樣的疑問,而且是同一個產品, 接了3次電話…最後終於忍不住, 叫他們不要再打了…基於你的分析, 那家網店肯定被我列為黑名單了.